C&ESAR 2011 - La mobilité: menace et politique de sécurité adaptée

par Kim Nguyen – ministère de l’interieur (DCRI)

Les missions de la DCRI : contre-espionnage, contre-terrorisme, protection des intérets économiques, subversion violente (??).

Bon sans surprise, les chinois (ip chinoises ?) sont dans le top des sources d’intrusions informatiques en France. Le vol de pc, dans une entreprise acceuillante, sur un site soit-disant sécurisé, c’est un vrai problème qui soulève la question de la confiance (A qui profite le crime ?). La déstabilisation est une réalité contre les chefs d’entreprises avec menaces sur les membres de la famille juste avant une réunion clé. Perte/oubli de clef usb et autres portables dans les trains sont la source principale de fuites d’informations.

L’orateur invite l’assemblée à porter plainte systématiquement en cas de vol de téléphone / laptop / PC / clef USB et autres supports amovibles.

En cas d’accidents, d’incidents ou de situations de crises, il est parfois difficile d’identifier les responsabilités, la mobilité des équipements des personnes et des données sont donc à prendre en compte dans la définition des PSSI.

L’usurpation d’identité c’est une infraction et il faut déposer plainte, parfois les services de police ne sont pas tout à fait à jour, et il faut donc insister. L’usurpation d’identité étant en pleine expansion.

Sécurité de l’information – Pierre-Yves bouf

L’entreprise est un lieu de confort, mais lorsqu’on est en déplacement, on est dans un environnement bien plus anxiogène dont le temps et la réactivité est un facteur d’aggravation.

Alors forcément, pour assurer la sécurité, on accumule les solutions (en carton) pour sécuriser les communications, fichiers etc… mais cette panoplie ne résiste pas au quotidien et aux impératifs à fortiori quand le temps est compté.

Et les tuiles ne manquerons pas (loi de murphy ?) : foudre, incendie. Sans compter les oublis (7600 ordinateurs portables oubliés sur les sièges arrière des taxi. ajoutez à ça le vol et le renseignement et crime organisé, et votre SI est entre de bonnes mains).

Comment identifier les informations sensibles : FFTG -> Faut Faire Très Gaffe soit : Finances, Futur, Technique, Gens. Et les supports d’information : Numérique, Papier, Connaissance. Les secrétaires sont bien placées pour avoir connaissance de tout ça, et c’est la première cible du renseignement. « Dans secrétaire il y a taire » (lol). Les fuites d’informations ne manquent pas, le TGV en est un bon exemple.

L’attaquant à le choix des armes et prendra forcément le plus discret et le moins coûteux pour mettre à mal votre sécurité. Alors pour lutter vous avez à votre disposition la technique, l’organisation, l’intelligence et la capacité d’action des membres de l’entreprise.